Dacă utilizarea certificatului organizației este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați cu upgrade-ul. Implementarea SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificările viitoare.

Certificatul webex de furnizor de servicii (SP)


Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul design-on unic Webex (SSO) va expira. Urmați procesul din acest articol pentru a regăsi metadatele certificatului cloud SSO de la noi (SP) și adăugați-le înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex.

Dacă utilizați certificatul SAML Cisco (SP) SSO în organizația Webex, trebuie să planificați să actualizați certificatul cloud în timpul unei ferestre de întreținere programate regulat cât mai curând posibil.

Toate serviciile care fac parte din abonamentul organizației Webex sunt afectate, inclusiv, dar fără a se limita la:

  • Webex App (noi conectări pentru toate platformele: desktop, mobil și web)

  • Servicii Webex în ControlHub, inclusiv apelarea

  • Site-uri Webex Meetings gestionate prin Control Hub

  • Cisco Jabber dacă este integrat cu SSO

Înainte de a începe

Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca utilizatorii noi să nu se poată conecta cu succes.

Dacă IdP-ul nu acceptă mai multe certificate (majoritatea IPP-urilor de pe piață nu acceptă această caracteristică), vă recomandăm să programați acest upgrade în timpul unei ferestre de întreținere în care utilizatorii Webex App nu sunt afectați. Aceste activități de upgrade ar trebui să dureze aproximativ 30 de minute în timpul operațional și în validarea post-eveniment.

1

Pentru a verifica dacă certificatul SAML Cisco (SP) SSO va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.

  • Conectați-vă la https://admin.webex.comși verificați centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului de furnizor de servicii SSO.

  • Conectați-vă la https://admin.webex.com, accesați Management > Setări organizație > Autentificare și notați starea certificatului în tabelul Certificat Cisco SAML (expirat sau care expiră în curând). Faceți clic pe Reînnoire certificat pentru a continua.

Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să ieșiți din expert înainte de a-l finaliza, îl puteți accesa din nou în orice moment din Setări gestionare > organizație > Autentificare în https://admin.webex.com.
2

Alegeți tipul de certificat pentru reînnoire:

  • Auto-semnat de Cisco- Vă recomandăm această alegere. Permiteți-ne să semnăm certificatul, astfel încât trebuie doar să îl reînnoiți o dată la cinci ani.
  • Semnat de o autoritate de certificare publică– Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul IdP acceptă ancore de încredere).

     

    Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.
3

Faceți clic pe Descărcare fișier metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din cloud-ul Webex. Păstrați acest ecran deschis.
4

Navigați la interfața de gestionare IdP pentru a încărca noul fișier de metadate Webex.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență. Dacă pe Active Directory Federation Services (AD FS), puteți vedea cum se actualizează metadatele Webex în AD FS.
5

Reveniți la fila în care v-ați conectat la Control Hub și faceți clic pe Următorul.
6

Faceți clic pe Testare actualizare SSO pentru a confirma că noul fișier de metadate a fost încărcat și interpretat corect de IdP. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a avut succes, faceți clic pe Comutare la metadate noi.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiere URL în clipboard din acest ecran și să îl lipiți într-o fereastră de browser privată. De acolo, puteți merge prin conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul web care ar putea oferi un rezultat fals pozitiv atunci când testați configurația SSO.

Rezultat: Ați terminat și certificatul SAML Cisco (SP) SSO al organizației este acum reînnoit. Puteți verifica starea certificatului în orice moment deschizând tabelul de stare a certificatului SAML sub Gestionare > Setări organizație > Autentificare .

Certificat furnizor de identitate (IdP)

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii IdP au propria documentație specifică pentru reînnoirea certificatului, acoperim ceea ce este necesar în Control Hub , împreună cupașii generici pentru a regăsi metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

1

Pentru a verifica dacă certificatul IDP SAML va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă la https://admin.webex.comși verificați centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului IDP SAML:

  • Conectați-vă la https://admin.webex.com, accesați Gestionare > Setări organizație > Autentificare și notați starea certificatului (expirat sau care expiră în curând) în tabelul Certificat SAML. Faceți clic pe Reînnoire certificat pentru a continua.

  • Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să ieșiți din expert înainte de a-l finaliza, îl puteți accesa din nou în orice moment din Setări gestionare > organizație > Autentificare în https://admin.webex.com.
2

Navigați la interfața de gestionare IdP pentru a regăsi noul fișier de metadate.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență.
3

Reveniți la Setări de gestionare > organizație > Autentificare în , apoi alegeți Acțiuni > Import https://admin.webex.com metadate .
4

Trageți și fixați fișierul de metadate IdP în fereastră sau faceți clic pe Alegeți un fișier de metadate și încărcați-l în acest fel.
5

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.
6

Faceți clic pe Testare actualizare SSO pentru a confirma că noul fișier de metadate a fost încărcat și interpretat corect în organizația Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a avut succes, faceți clic pe Comutare la metadate noi.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiere URL în clipboard din acest ecran și să îl lipiți într-o fereastră de browser privată. De acolo, puteți merge prin conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul web care ar putea oferi un rezultat fals pozitiv atunci când testați configurația SSO.

Rezultat: Ați terminat și certificatul IdP al organizației este acum reînnoit. Puteți verifica starea certificatului în orice moment deschizând tabelul de stare a certificatului SAML sub Gestionare > Setări organizație > Autentificare .

Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare atunci când metadatele SAML IdP importate vor expira sau au expirat.

Acest pas este util în scenarii comune de gestionare a certificatelor IdP SAML, cum ar fi IPP-uri care acceptă mai multe certificate în cazul în care exportul nu a fost făcut mai devreme, dacă metadatele nu au fost importate în IdP, deoarece un administrator IdP nu a fost disponibil sau dacă IdP acceptă capacitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării doar prin actualizarea certificatului în configurația SSO și validarea post-eveniment.

1

Din vizualizarea client din https://admin.webex.com, accesați Gestionare > Setări organizație , defilați la Autentificare , apoi alegeți Acțiuni > Export metadate.

Numele fișierului de metadate Webex App este idb-meta-<org-ID>-SP.xml.
2

Importați metadatele în IdP.

Urmați documentația pentru IdP pentru a importa metadatele Webex SP. Puteți utiliza ghidurile noastre de integrare IdP sau puteți consulta documentația pentru IdP-ul dvs.
3

După ce ați terminat, rulați testul SSO utilizând pașii din "Reînnoiți certificatul Webex (SP)" din acest articol.

Când mediul IdP se modifică sau dacă certificatul IdP va expira, puteți importa metadatele actualizate în Webex în orice moment.

Înainte de a începe

Adunați metadatele IdP, de obicei ca fișier xml exportat.

1

Din vizualizarea client din https://admin.webex.com, accesați Gestionare > Setări organizație , defilați la Autentificare , apoi alegeți Acțiuni > Import metadate.
2

Trageți și fixați fișierul de metadate IdP în fereastră sau faceți clic pe Alegeți un fișier de metadate și încărcați-l în acest fel.
3

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți, de asemenea, să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele SP sau IdP vor expira. Vă putem trimite acestea prin e-mail, un spațiu în Webex Appsau ambele.

Indiferent de canalul de livrare configurat, toate alertele apar întotdeauna în Control Hub. Consultați Centrul de avertizări din Control Hub pentru mai multe informații.

1

Din vizualizarea clientului în https://admin.webex.com, accesați Centrul de alerte.
2

Alegeți Gestionare, apoi Toate regulile.
3

Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • Expirarea certificatului IDP SSO
  • EXPIRAREA certificatului SSO SP
4

În secțiunea Canal de livrare, bifați caseta pentru E-mail,spațiu Webex sauambele.

Dacă alegeți E-mail, introduceți adresa de e-mail care ar trebui să primească notificarea.


 

Dacă alegeți opțiunea spațiu Webex, sunteți adăugat automat într-un spațiu din interiorul aplicației Webex și livrăm notificările acolo.
5

Salvați modificările.

Ce trebuie să faceți în continuare

Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc atunci când reînnoiți certificatul.

Este posibil să vedeți o notificare că URL-ul de deconectare unică nu este configurat:

Vă recomandăm să configurați IdP-ul pentru a accepta Deconectare unică (cunoscut și ca SLO). Webex acceptă atât metodele de redirecționare, cât și cele de postare, disponibile în metadatele noastre descărcate din Control Hub. Nu toate IPP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. În unele cazuri, pentru principalii furnizori IdP, cum ar fi AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm cum se configurează integrarea. Vă rugăm să consultați echipa de identitate și securitate cu privire la specificul IDP-ului și cum să configurați corect.

Dacă url-ul de deconectare unică nu este configurat:

  • O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, este posibil să nu li se ceară să reautenticeze de către IdP.

  • Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea la Webex App să nu se întâmple fără probleme.

Puteți dezactiva sign-on-ul unic (SSO) pentru organizația Webex gestionată în Control Hub. Poate doriți să dezactivați SSO pe care îl modificați furnizorii de identitate (IPP).

Dacă conectarea unică a fost activată pentru organizația dvs., dar nu reușește, puteți angaja partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva pentru dvs.

1

Din vizualizarea client în https://admin.webex.com, accesați Gestionare > Setări organizație , apoidefilați la Autentificare .
2

Pentru a dezactiva SSO, comutați setarea Sign-on unic.

Apare o fereastră pop-up care vă avertizează cu privire la dezactivarea SSO:

Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația IdP integrată.
3

Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic pe Dezactivare.

În Control Hub , veți vedeasetarea SSO comutată și toate listările de certificate SAML sunt eliminate.

Dacă SSO este dezactivat, utilizatorii care trebuie să se autentifice vor vedea un câmp de introducere a parolei în timpul procesului de conectare.

  • Utilizatorii care nu au o parolă în Webex App trebuie fie să-și reseteze parola, fie trebuie să le trimiteți e-mailuri pentru a seta o parolă.

  • Utilizatorii autentificați existenți cu un OAuth Token valid vor continua să aibă acces la Webex App.

  • Utilizatorii noi creați în timp ce SSO este dezactivat primesc un e-mail prin care li se solicită să creeze o parolă.

Ce trebuie să faceți în continuare

Dacă dumneavoastră sau clientul reconfigurați SSO pentru organizația client, conturile de utilizator vor reveni la utilizarea politicii de parolă care este setată de IdP care este integrată cu organizația Webex.